Tweet
Anh em kỹ sư mạng chắc chắn đã từng nghe tới cụm từ “default route” hay còn gọi là “route of last resort” – tuyến mặc định mà mọi gói tin không biết đi đâu sẽ bị đẩy ra ngoài. Trong môi trường Cisco Secure Firewall Threat Defense (FTD) được quản lý bằng FMC, việc khai báo default static route là bước cấu hình nền tảng để thiết bị có thể ra Internet thông qua nhà cung cấp dịch vụ.
Khái niệm nhanh về Default Static Route
Default route có dạng 0.0.0.0/0, nghĩa là mọi địa chỉ IP không khớp với bất kỳ tuyến cụ thể nào trong bảng định tuyến sẽ được gửi ra tuyến này. Trên FTD, default route thường được gắn với outside interface – chính là cổng kết nối đến nhà cung cấp ISP.
Ví dụ:
Khi user nội bộ truy cập một website bất kỳ trên Internet, gói tin sẽ không tìm thấy route cụ thể trong bảng định tuyến → lập tức được chuyển tới default route → ra outside interface → tới gateway ISP.
Cấu hình trên FMC
Trong FMC, static route không nhập trực tiếp IP như trên CLI mà dùng network objects để quản lý. Điều này giúp tái sử dụng dễ dàng trong nhiều cấu hình (NAT, ACL, ACP, v.v.).
Các bước cấu hình default static route:
Một số lưu ý quan trọng
Khái niệm nhanh về Default Static Route
Default route có dạng 0.0.0.0/0, nghĩa là mọi địa chỉ IP không khớp với bất kỳ tuyến cụ thể nào trong bảng định tuyến sẽ được gửi ra tuyến này. Trên FTD, default route thường được gắn với outside interface – chính là cổng kết nối đến nhà cung cấp ISP.
Ví dụ:
- Mạng LAN nội bộ: 192.168.10.0/24.
- Gateway ISP (router của nhà cung cấp): 192.0.2.2.
- FTD outside interface: 192.0.2.1.
Khi user nội bộ truy cập một website bất kỳ trên Internet, gói tin sẽ không tìm thấy route cụ thể trong bảng định tuyến → lập tức được chuyển tới default route → ra outside interface → tới gateway ISP.
Cấu hình trên FMC
Trong FMC, static route không nhập trực tiếp IP như trên CLI mà dùng network objects để quản lý. Điều này giúp tái sử dụng dễ dàng trong nhiều cấu hình (NAT, ACL, ACP, v.v.).
Các bước cấu hình default static route:
- Xác định destination network:
- Chọn any-ipv4 (được định nghĩa sẵn là 0.0.0.0/0).
- Đây chính là đại diện cho default route.
- Khai báo gateway:
- Nếu chưa có object, nhấn “+” tại phần Gateway để tạo.
- Ví dụ: tạo object tên ISP-Router với địa chỉ IP 192.0.2.2 (phải đủ 32 bit – host object).
- Lưu lại object để đưa vào cơ sở dữ liệu FMC.
- Chọn egress interface:
- Thường là outside interface.
- Đây là nơi gói tin sẽ thoát ra để đi đến gateway ISP.
- Lưu cấu hình:
- Nhấn OK để xác nhận static route.
- Đừng quên Deploy để áp dụng cấu hình xuống thiết bị FTD.
Một số lưu ý quan trọng
- Chỉ những host object (IPv4 đầy đủ 32 bit) mới được phép dùng làm gateway. Nếu bạn tạo network object 192.0.2.0/24 thì FMC sẽ không cho phép chọn làm gateway.
- Default route là tuyến “cứu cánh cuối cùng”. Nếu bạn có OSPF/BGP chạy song song, hãy kiểm tra kỹ để tránh xung đột.
- Trong môi trường thực tế, nhiều doanh nghiệp còn dùng dual ISP. Khi đó bạn cần khai báo thêm static route dự phòng hoặc dùng SLA Monitor để chuyển đổi gateway khi một đường bị down.
Attached Files